Ankieta: Czy używasz dodatke NoScript?
Nie posiadasz uprawnień, aby oddać głos w tej ankiecie.
Tak
60.00%
3 60.00%
Nie
20.00%
1 20.00%
Nie wiem, co to za dodatek
20.00%
1 20.00%
Razem 5 głosów 100%
*) odpowiedź wybrana przez Ciebie [Wyniki ankiety]

NoScript - błąd/luka w liście stron zaufanych
#1
NoScript - popularny dodatek, bez którego tysiące użytkowników na świecie nie wyobrażają sobie pracy z przeglądarką Firefox...również do nich należę i po wielu latach używania nie widzę równie funkcjonalnej do niego alternatywy. NS działa jako filtr/bloker zbędnych, podejrzanych czy niebezpiecznych skryptów w oparciu o listę zaufanych stron, blokując przy tym zawartość na stronach niezaufanych...tak to działanie opisują go na stronie dodatków do Firefoxa (podkreślenie moje)

Cytat:NoScript pozwala wykonywać skrypty JavaScript i aplety Java tylko przez zaufane domeny wybrane przez użytkownika np. witryny banków internetowych oraz zabezpiecza przed atakami typu "cross-site scripting" (XSS). Takie prewencyjne podejście zabezpiecza przed  wykorzystaniem luk bezpieczeństwa - znanych i nieznanych - bez utraty funkcjonalności.

Faktycznie jest tak, że NS domyślnie blokuje skrypty na otwieranej stronie, ale nie do końca jest tak, że to my decydujemy, na której...gorzej nawet...okazuje się, że posługując się prostym trikiem zaufanie zdobywa każda strona zawierająca nazwę domeny głównej. Temat tej luki opisał Matthew Bryant na swoim blogu "The Hacker Blog", a opisać ją można tak:

- NS poza naszymi własnymi listami stron zaufanych posiada wbudowaną własną listę stron zaufanych...nie jest to nic nowego, bo autor dodatku pisze na o tym na obszernej stronie FAQ
- dodawane do tej listy strony są wpisywane na bazie zgłoszeń społeczności...czyli teoretycznie można zgłosić stronę (nawet ze szkodnikiem), którą wystarczająco dużo osób poprze
- nie tylko strona główna dodana do listy zaufanych nie podlega restrykcjom...nie podlega im również podstrona (subdomena) zawierająca nazwę tej pierwotnie zaufanej....badacz opisuje to tak

Cytat:For example, when you add example.com to your whitelist did you also know that you’re trusting every subdomain of that site as well? It’s not very obvious (it wasn’t to me!).

So thirdparty.example.com is completely trusted as well, even though you may have only meant the main example.com website. This greatly expands the default trust surface that you opt-in to when you install NoScript.

Ten trik pozwolił na dokonanie próbnego rzeczywistego ataku, który wykorzystał adres chmury Google do przechowywania plików - storage.googleapis.com - żeby przemycić skrypt Java, który może w praktyce być wykorzystany do naprawdę szkodliwego ataku.

[Aby zobaczyć linki, zarejestruj się tutaj]


Wszystkie te próby i uwagi zostały zgłoszone do twórcy NoScript i faktycznie jest kilka zmian w ostatnich dniach, ale chyba nie do końca odpowiadają na oczekiwania badaczy i użytkowników. Najlepszą metodą dla użytkowników NS jest przejrzenie listy zaufanych stron we własnej przeglądarce i usunięcie tych wszystkich, które są nieznane, obco brzmiące, nie budzą zaufania...a najlepiej wyczyszczenie do zera tej listy i zbudowanie jej od nowa - zakładka "Zaufane witryny" w ustawieniach NS poniżej

[Aby zobaczyć linki, zarejestruj się tutaj]


Żeby jednak nie siać paniki...wrogie/podejrzane skrypty mają w znakomitej większości macierzysty adres w innej domenie, niż przeglądana strona, więc jednak nasza lista zaufanych naprawdę spełniać może swoją ochronną rolę.

Cytat:1.11

Q:   What is a trusted site?
(...)
A:
* You may ask, what if site I really trust gets compromised? Will I get infected as well because I've got it in my whitelist, ending to sue as you said?

No, you won't, most probably.

[Aby zobaczyć linki, zarejestruj się tutaj]

, 99.9% of the times malicious scripts are still hosted on a different domain which is likely not in your whitelist, and gets just included by the pages you trust. Since NoScript blocks 3rd party scripts which have not been explicitly whitelisted themselves, you're still safe, with the additional

[Aby zobaczyć linki, zarejestruj się tutaj]

Smile

[Aby zobaczyć linki, zarejestruj się tutaj]


Źrtódła

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#2
Ja już jakiś czastemu dałem sobie spokój z tym dodatkiem, są lepsze na FF.
uMatrix, Policeman > NoScript
w10 - OSArmor + Simplewall
Odpowiedz


Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości